理论基础
标准访问控制列表:基于IP地址过滤数据包,访问控制列表号2000-2999
扩展访问控制列表:基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
命名访问控制列表:允许在标准和扩展访问控制列表中使用名称代替表号
实验目的
学习ACL;学习ACL规则的编写与端口的调用;学习ACL基础配置
实验环境
实验需求
- 全网互通
- 用ACL标准列表禁止vlan10和vlan20通信
- 用ACL扩展列表禁止AR3访问ftp服务
实验分析
- ACL标准列表序号2000-2999,由于ACL标准列表,匹配规则时并不是十分明确源和目标,所以我们要尽可能在靠近目标的地方调用制定的规则,避免拦截掉其他的数据流量,在路由器AR3vlan20网关处出口调用规则
- ACL扩展列表序号3000-3999,由于ACL扩展列表,可以明确源和目标地址,所以可以在靠近源的地方制定规则 调用接口,减少不必要的数据在网络中传播。
实验步骤和配置
LSW1配置
<huawei>sys
[huawei]sysname sw1
[sw1]vlan batch 10 20
[sw1-e0/0/1]int e0/0/1
[sw1-e0/0/1]port link-type access
[sw1-e0/0/1]port default vlan 10
[sw1-e0/0/1]int e0/0/2
[sw1-e0/0/2]port link-type access
[sw1-e0/0/2